Se ha reportado una
vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios
web para el tratamiento de imágenes. La vulnerabilidad es considerada de
gravedad alta y podría permitir a un atacante provocar condiciones de
denegación de servicio.
Como ya hemos
comentado anteriormente, ImageMagick es un conjunto de utilidades de código
abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir
más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos
empleado para la manipulación de imágenes. Muchas aplicaciones Web como
MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas.
También es usado por otros programas para la conversión de imágenes.
En el problema reportado,
con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file%
/dev/null’ en determinados archivos podría causar un salto en memoria debido a
valores no inicializados. Esto podría ser aprovechado por un atacante remoto
para provocar una denegación de servicio (cierre de la aplicación) a través de
archivos especialmente manipulados.
Recursos afectados
- Este problema afecta a las versiones anteriores a la 7.0.7-6
Recomendación
- Se recomienda actualizar a versiones superiores. https://www.imagemagick.org/download/beta/
Fuente: Hispasec